Τι είναι ο GDPR
2310566767

Ξενοδοχειακός Κλάδος & GDPR

Ο GDPR (General Data Protection Regulation General Data Protection Regulation) - «Γενικός Κανονισμός για την Προστασία Δεδομένων» (ΕΕ) 2016/679, πραγματεύεται την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας τους και εφαρμόζεται υποχρεωτικά από τις 25 Μαΐου 2018.

Οι ξενοδοχειακές επιχειρήσεις επεξεργάζονται και αποθηκεύουν καθημερινά μεγάλο όγκο προσωπικών δεδομένων, ευαίσθητων προσωπικών δεδομένων αλλά και οικονομικών πληροφοριών. Με τον όρο «προσωπικά δεδομένα» νοείται οποιαδήποτε πληροφορία μπορεί να ταυτοποιήσει ένα φυσικό πρόσωπο. Αυτή η πληροφορία μπορεί να είναι ένα ονοματεπώνυμο, μια διεύθυνση ηλεκτρονικού ταχυδρομείου, μια διεύθυνση κατοικίας, κάποιο τραπεζικό στοιχείο, ιατρικές πληροφορίες ή οποιαδήποτε άλλη πληροφορία που ταυτοποιεί το φυσικό πρόσωπο. Οι ξενοδοχειακές επιχειρήσεις είναι αποδέκτες πληροφοριών από πολλές πηγές όπως συστήματα κρατήσεων τρίτων, συστήματα σημείων πώλησης, ηλεκτρονικά μηνύματα, φαξ, τηλέφωνα κτλπ. Επιπλέον τα ξενοδοχεία συνεργάζονται με Tour Operators αλλά και με επιχειρήσεις και προμηθευτές με πολλούς τρόπους. Κάθε μια από τις παραπάνω συνεργασίες μπορεί να επιφέρει κινδύνους για την ασφάλεια των προσωπικών δεδομένων. Όπως γίνεται εύκολα αντιληπτό τα δεδομένα αυτά είναι απαραίτητο να προστατεύονται. Για αυτό θα πρέπει να εντοπιστούν οι πιθανοί κίνδυνοι και να διαχειριστούν.
Αναμφίβολα η συμμόρφωση με τις απαιτήσεις του Κανονισμού ΔΕΝ αποτελεί εμπόδιο στην εύρυθμη λειτουργία της επιχείρησής σας και σε θέματα προώθησης των υπηρεσιών σας σε πελάτες, καθώς στην πραγματικότητα μέσω του GDPR μπορεί να βελτιωθεί η επιχειρησιακή αποτελεσματικότητα του ξενοδοχείου σας.

H Alpha Plan Consultants διαθέτοντας έμπειρο προσωπικό (συμβούλους διαχειριστικών συστημάτων, συμβούλους μηχανογράφησης και νομικούς) είναι σε θέση να παρέχει ολοκληρωμένες υπηρεσίες στην επιχείρησή σας και συγκεκριμένα:

  • Καταγραφή της Υπάρχουσας Κατάστασης
  • Αναθεώρηση ή θέσπιση πολιτικών ασφαλείας
  • Ανάγκη Συμμόρφωσης προς τεχνικά πρότυπα (ISO/IEC)
  • Ανασχεδιασμός πληροφοριακών συστημάτων
  • Διαδικασίες και λογισμικά εργαλεία ανωνυμοποίησης και κρυπτογράφησης
  • Εκπαίδευση προσωπικού
  • Διορισμός Data Protection Officer (DPO), ο οποίος μπορεί να είναι εξωτερικός συνεργάτης και να συνεργάζεται με όλα τα τμήματα της επιχείρησης, στο ανώτατο επίπεδο της Επιχείρησης
  • Διαδικασίες αναφοράς συμβάντων υποκλοπής δεδομένων εντός 72 ωρών στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και στα υποκείμενα των δεδομένων.

Δημόσιοι Φορείς & GDPR

Ο Κανονισμός Ε.Ε., 2016/679 έχει τεθεί σε ισχύ τον Μάιο του 2018 και αφορά όλες τις επιχειρήσεις και τους φορείς, ιδιωτικούς και δημόσιους που επεξεργάζονται προσωπικά δεδομένα Ευρωπαίων πολιτών. Πρόκειται για την πιο πρόσφατη εξέλιξη σε επίπεδο Ευρωπαϊκής Ένωσης με στόχο τη διαφύλαξη της ασφάλειας των προσωπικών δεδομένων πολιτών, αναγνωρίζοντας σε αυτούς νέα δικαιώματα και αυξάνοντας την προστασία τους. Κάθε δημόσιος φορέας υπόκειται στους κανόνες του ΓΚΠΔ όταν επεξεργάζεται δεδομένα προσωπικού χαρακτήρα που αφορούν σε φυσικό πρόσωπο.

Η πλειονότητα των δεδομένων προσωπικού χαρακτήρα που τηρούνται από δημόσιους φορείς συνήθως τίθενται σε επεξεργασία με βάση μια νομική υποχρέωση ή στον βαθμό που αυτό είναι απαραίτητο για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε αυτές.

Κάθε δημόσιος φορέας θα πρέπει να προετοιμαστεί σε ό,τι αφορά στην εφαρμογή του Κανονισμού ξεκινώντας από το βασικό βήμα της χαρτογράφησης της ροής των προσωπικών δεδομένων. Πρέπει επομένως σε κάθε δημόσιο φορέα να καταγραφούν πλήρως και επακριβώς οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα, που τυγχάνουν επεξεργασίας (συλλογή, καταχώρηση, φύλαξη, διαβίβαση, κλπ.), οι αποδέκτες των δεδομένων, το χρονικό διάστημα τήρησής τους, ο τόπος αποθήκευσής τους, τα υφιστάμενα οργανωτικά και τεχνικά μέτρα που εφαρμόζει ο οργανισμός και μια σειρά από άλλες παραμέτρους όπως αυτές ορίζονται στον Κανονισμό. Η διαδικασία αυτή θα πρέπει να πραγματοποιηθεί για κάθε δημόσιο φορέα είτε υπέχει θέση υπευθύνου επεξεργασίας είτε εκτελούντος την επεξεργασία. Κρίνεται απαραίτητο να σχεδιασθούν και να τεθούν σε λειτουργία διαδικασίες, οι οποίες να αποσκοπούν στη διασφάλιση ενός υψηλού επιπέδου προστασίας δεδομένων προσωπικού χαρακτήρα. Οι εν λόγω διαδικασίες οφείλουν να λαμβάνουν υπόψη όλα τα ιδιαίτερα χαρακτηριστικά των κατηγοριών δεδομένων, που τυγχάνουν επεξεργασίας, αλλά και των επεξεργασιών, που διενεργούνται. Οφείλουν, επίσης, να επικαιροποιούνται σε τακτά χρονικά διαστήματα.

Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κάθε δημόσιος φορέας οφείλει να τηρεί ορισμένες βασικές αρχές, στις οποίες περιλαμβάνονται οι εξής:

  • δίκαιη και νόμιμη επεξεργασία
  • περιορισμός σκοπού
  • ελαχιστοποίηση δεδομένων και διατήρηση δεδομένων.

Σε περίπτωση επεξεργασίας με βάση το δίκαιο, το εν λόγω δίκαιο θα πρέπει ήδη να διασφαλίζει ότι αυτές οι αρχές τηρούνται όπως προβλέπει ο Κανονισμός. Πριν από την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, πρέπει να ενημερώνονται τα φυσικά πρόσωπα σχετικά με τους σκοπούς της επεξεργασίας, τα είδη δεδομένων που συλλέγονται, τους αποδέκτες, καθώς και για τα δικαιώματά τους όσον αφορά στην προστασία των δεδομένων.

Κάθε δημόσιος φορέας και σύμφωνα με τα οριζόμενα ιδίως στα άρθρα 37 και 38 ΓΚΠΔ, πρέπει να διορίσει έναν Υπεύθυνο Προστασίας Δεδομένων-ΥΠΔ (Data Protection Officer – DPO), είτε υπέχει θέση υπευθύνου επεξεργασίας είτε εκτελούντος την επεξεργασία.

Ωστόσο, μπορεί να διορίζεται ένας και μοναδικός υπεύθυνος προστασίας δεδομένων για πολλούς δημόσιους φορείς ή μπορεί να γίνει ανάθεση σε κάποιον εξωτερικό ΥΠΔ. Ο DPO θα πρέπει ιδίως:

  1. να ενημερώνει και να συμβουλεύει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία και τους εργαζόμενους, που διενεργούν επεξεργασίες, για τις υποχρεώσεις τους, που απορρέουν από τον ΓΚΠΔ και από άλλες διατάξεις της Ε.Ε., αλλά και εθνικές ρυθμίσεις σχετικά με την προστασία δεδομένων,
  2. να παρέχει συμβουλές, όταν ζητείται, όσον αφορά στην εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων και να παρακολουθεί την υλοποίησή της σύμφωνα με το άρθρο 35 ΓΚΠΔ,
  3. να συνεργάζεται με την εποπτική αρχή και να ενεργεί ως σημείο επικοινωνίας με την εποπτική αρχή και τα υποκείμενα των δεδομένων για όλα τα ζητήματα που σχετίζονται με την επεξεργασία.

Ο ΥΠΔ πρέπει επίσης να διασφαλίζει την ορθή εφαρμογή των τεχνικών και οργανωτικών μέτρων ασφάλειας σε σχέση με τα δεδομένα προσωπικού χαρακτήρα. Σε περίπτωση εξωτερικής ανάθεσης μέρους της επεξεργασίας σε οργανισμό (που αποκαλείται «εκτελών την επεξεργασία»), πρέπει να υφίσταται σύμβαση ή άλλη νομική πράξη που να εγγυάται ότι ο εκτελών την επεξεργασία παρέχει επαρκείς εγγυήσεις για την υλοποίηση κατάλληλων τεχνικών και οργανωτικών μέτρων που να ανταποκρίνονται στα πρότυπα του ΓΚΠΔ.

Σε περίπτωση που δεδομένα προσωπικού χαρακτήρα που κατέχει δημόσιος φορέας κοινολογηθούν τυχαία ή παράνομα σε μη εξουσιοδοτημένους αποδέκτες ή είναι προσωρινά μη διαθέσιμα ή έχουν αλλοιωθεί, πρέπει να ειδοποιηθεί η Αρχή προστασίας δεδομένων (ΑΠΔ) σχετικά με την παραβίαση χωρίς αδικαιολόγητη καθυστέρηση και το αργότερο εντός 72 ωρών από τη στιγμή που διαπιστώνεται η παραβίαση. Κατ’ επέκταση θα πρέπει να εξεταστεί και η ανάγκη ενημέρωσης των υποκειμένων των δεδομένων.

Τι είναι ο GDPR και τι ρυθμίζει;

Ο Νέος Κανονισμός:

  • δημιουργήθηκε για να αντιμετωπίσει τις δυσκολίες που ανακύπτουν από την αυξανόμενη μετακίνηση δεδομένων σε Διεθνές Επίπεδο
  • αφορά σε όλη την Ευρωπαϊκή Ένωση
  • έχει σχεδιαστεί για να αντιμετωπίσει τεχνολογικές και κοινωνικές αλλαγές που έλαβαν χώρα τα τελευταία 20 χρόνια, υιοθετώντας μια τεχνολογικά ουδέτερη προσέγγιση στον Κανονισμό
  • έχει τεθεί σε ισχύ στις 4 Μαΐου 2016 και εφαρμόζεται ΥΠΟΧΡΕΩΤΙΚΑ από τις 25 Μαΐου 2018
  • σκοπός του είναι η ενδυνάμωση των θεμελιωδών δικαιωμάτων των πολιτών στην ψηφιακή εποχή και η διευκόλυνση των επιχειρήσεων, απλοποιώντας του κανόνες για τις εταιρείες στην Ελεύθερη Ψηφιακή Αγορά.
  • δεν απαιτεί προηγουμένως συγκεκριμένη νομοθετική πράξη του Κράτους Μέλους προκειμένου να εφαρμοστεί.

Ρυθμίζει τα δικαιώματα των φυσικών προσώπων σχετικά με:

  • τα προσωπικά τους δεδομένα
  • την επεξεργασία των προσωπικών τους δεδομένων
  • την ελεύθερη και ανεμπόδιστη κυκλοφορία και μεταβίβαση των προσωπικών τους δεδομένων εντός των ορίων της Ε.Ε.
  • τις διαδικασίες διαβίβασης προσωπικών δεδομένων εκτός Ε.Ε.

Ποια είναι τα προσωπικά δεδομένα;

  • Παραδείγματα Προσωπικών Δεδομένων: ΑΜΚΑ, e-mail, Οικονομικές πληροφορίες, Επάγγελμα, εμπειρία, εκπαίδευση, Δεδομένα συμπεριφοράς (προτιμήσεις, συνήθειες, συμπεριφορά στην διαδικτυακή περιήγηση), διεύθυνση IP.
  • Ειδικές Κατηγορίες Δεδομένων (ευαίσθητα): φυλετική, εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκευτικές, φιλοσοφικές πεποιθήσεις, συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά, βιομετρικά δεδομένα, δεδομένα υγείας, σεξουαλική ζωή, γενετήσιος προσανατολισμός.

Βασικοί ορισμοί

  • Υποκείμενο: Φυσικό Πρόσωπο
  • Δεδομένα Προσωπικού Χαρακτήρα: Κάθε πληροφορία που αφορά στο υποκείμενο και μπορεί να το ταυτοποιήσει με άμεσο ή έμμεσο τρόπο
  • Αρχείο: filing system με δεδομένα διαρθρωμένα και προσβάσιμα
  • Υπεύθυνος Επεξεργασίας: (στο εξής ΥΕ) είναι ο Οργανισμός – καθορίζει κατά τρόπο αποκλειστικό και κυρίαρχα τους σκοπούς και τα μέσα επεξεργασίας [Ο υπάλληλος του ΥΕ ταυτίζεται με τον ΥΕ]
  • Ο Εκτελών την Επεξεργασία: (στο εξής ΕΕ) είναι πάντοτε ένα τρίτο πρόσωπο (Φυσικό ή Νομικό) που συνδέεται με κάποια έννοια με τον Υπεύθυνο Επεξεργασίας (π.χ. με κάποια σύμβαση). Μπορεί κάποιος να είναι Υπεύθυνος Επεξεργασίας για μία ομάδα δεδομένων και εκτελών την επεξεργασία για άλλη
  • DPO: εντός ή εκτός Επιχείρησης - σε άμεση συνεργασία με τη Διοίκηση της Επιχείρησης / Οργανισμού / Φορέα κτλπ.

Αρχές που διέπουν την προστασία δεδομένων

  1. Νομιμότητα: δεν παραβιάζει κανόνα δικαίου
  2. Αναλογικότητα:
    • δεν είναι επαχθής
    • είναι αναλογικά ανεκτή σε σχέση με αυτό που πρέπει να προστατεύσει
  3. Διαφάνεια: μπορεί να ελεγχθεί τι έγινε- να διορθωθεί- να περιορισθεί- να αρθεί

Υποχρεώσεις του Υπεύθυνου Επεξεργασίας

ΕΦΑΡΜΟΓΗ: Κατάλληλων τεχνικών και οργανωτικών μέτρων που θα διασφαλίζουν και θα αποδεικνύουν τη συμμόρφωση με τον Κανονισμό
ΣΥΝΕΡΓΑΣΙΑ: Με την εποπτική αρχή (βέλτιστα διά του DPO όπου αυτός απαιτείται)
ΔΙΑΣΦΑΛΙΣΗ: Του απορρήτου και της ασφάλειας της επεξεργασίας
ΕΠΙΠΡΟΣΘΕΤΑ

  • Γνώση και καταγραφή των Δεδομένων
  • Λήψη Σαφούς και Ακριβούς Συγκατάθεσης ή χρήση άλλης νόμιμης βάσης
  • Διαγραφή δεδομένων εφόσον ζητηθεί
  • Περιορισμός Πρόσβασης στα δεδομένα
  • Εκτίμηση Κινδύνου
  • Αναφορά Παραβίασης σε 72 ώρες
  • Συνεχής Παρακολούθηση των κινδύνων
  • Αξιοποίηση του Υπευθύνου Προστασίας Δεδομένων (DPO)

Συνέπειες Παραβίασης – Ποινές

  • Προειδοποίηση
  • Επίπληξη
  • Αναστολή της Επεξεργασίας Δεδομένων
  • Θέτει ένα μέγιστο πρόστιμο για μονομερή παραβίαση έως €20 εκ., ή το 4% των ετήσιων παγκόσμιων εισοδημάτων.

Έννομη προστασία – Καταγγελίες

Άρθρο 77 Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή
«…καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα κανονισμό».

Έννομη προστασία – Αποζημίωση

Άρθρο 82 - Δικαίωμα αποζημίωσης και ευθύνη

  • «Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».
  • «Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία, που παραβαίνει τον παρόντα κανονισμό…… ».
  • «Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας».
  • «Εάν περισσότεροι του ενός υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία ή αμφότεροι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εμπλέκονται στην ίδια επεξεργασία και, εάν δυνάμει των παραγράφων 2 και 3 είναι υπεύθυνοι για τυχόν ζημία που προκάλεσε η επεξεργασία, κάθε υπεύθυνος επεξεργασίας ή εκτελών την επεξεργασία ευθύνεται για τη συνολική ζημία, προκειμένου να διασφαλιστεί αποτελεσματική αποζημίωση του υποκειμένου των δεδομένων».

Ποιος μας εποπτεύει;

Στην Ευρωπαϊκή Ενωση για την προστασία δεδομένων γίνεται σε συνεργασία με τις υφιστάμενες εθνικές αρχές.

Στην Ελλάδα η εθνική αρχή είναι η 

Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
Κηφισίας 1-3, Τ.Κ. 115 23, Αθήνα
Tel:+30 210 6475600 - Fax: +30 210 6475628

Τα Βήματα για τη Συμμόρφωση

  • Προετοιμασία & Δημιουργία Αρχείου Επεξεργασίας
  • Ανάπτυξη πολιτικών
  • Δημιουργία πρότυπων συμβάσεων
  • Αξιολόγηση Κινδύνων / Εκτίμηση αντικτύπου
  • Εκπαίδευση
  1. Προετοιμασία – Αποτύπωση υφιστάμενης κατάστασης
    1. Καταγραφή υπευθύνων ανά τμήμα
    2. Καταγραφή διαθέσιμων πόρων
    3. Καταγραφή και χαρτογράφηση των Δεδομένων Προσωπικού Χαρακτήρα
    4. Χαρτογράφηση του εγκατεστημένου πληροφοριακού συστήματος
    5. Καταγραφή Τεκμηρίωσης
  2. Ανάπτυξη πολιτικών, διαδικασιών & δημιουργία πρότυπων συμβάσεων
    1. Πολιτικές συλλογής και επεξεργασίας δεδομένων
    2. Πολιτικές ασφάλειας
    3. Σχέδιο ασφάλειας
    4. Σχέδιο ανάκαμψης και καταστροφών
    5. Μηχανισμός εντοπισμού παραβιάσεων
    6. Σχέδιο διαχείρισης των συμβάντων
    7. Αρχείο καταγραφής ενεργειών
    8. Προσαρμογή των συμβάσεων του οργανισμού
    9. Τεχνικά μέτρα που θα πρέπει να ληφθούν και πιθανές συστάσεις
  3. Αξιολόγηση Επιπτώσεων / Αξιολόγηση Κινδύνων
    1. Προσδιορισμός ροής/διαδικασίας χειρισμού προσωπικών δεδομένων ανά λειτουργία και αξιολόγηση επιπτώσεων.
  4. Εκπαίδευση
  5. Επιθεώρηση και αξιολόγηση συμμόρφωσης GDPR
  6. Ασφάλεια Δεδομένων
    1. Αξιολόγηση του επιπέδου ασφαλείας του εταιρικού δικτύου
    2. Έρευνα ευπαθειών (Vulnerability scanning)
    3. Προτάσεις για υιοθέτηση τεχνολογιών και εργαλείων για την ενίσχυση της ασφάλειας του δικτύου και των δεδομένων
    4. Δοκιμές διείσδυσης (Penetration tests)
    5. IT Audit

Ο GDPR στην Υγεία

Η εφαρμογή του GDPR στους τομείς της Υγείας & των Κοινωνικών Υπηρεσιών

Οι οργανισμοί και οι εταιρίες που παρέχουν υπηρεσίες υγείας και κοινωνικής υποστήριξης καθώς και όλοι οι επαγγελματίες του τομέα της Υγείας, έχουν αυξημένες υποχρεώσεις από την εφαρμογή του Κανονισμού.

Ασφαλιστικοί οργανισμοί δημόσιοι και ιδιωτικοί, κοινωνικές υπηρεσίες και δομές που ανήκουν σε δήμους ή στο δημόσιο τομέα, μη κερδοσκοπικά ιδρύματα, ενώσεις και επιστημονικοί φορείς υποστήριξης ασθενών, νοσοκομεία, πολυκλινικές, κλινικές, κέντρα αποκατάστασης, ειδικά θεραπευτήρια, διαγνωστικά κέντρα αλλά και οι επαγγελματίες υγείας θα πρέπει να αναλύσουν με ιδιαίτερη προσοχή τις απαιτήσεις του Κανονισμού και να προβούν στις κατάλληλες ενέργειες τόσο για την κανονιστική τους συμμόρφωση, όσο και για την ενίσχυση της ασφάλειας των πληροφοριακών τους συστημάτων.

Αυξημένες υποχρεώσεις έχουν και οι εταιρίες που προμηθεύουν ιατροτεχνολογικό εξοπλισμό, πληροφοριακά συστήματα για την υγεία, υπηρεσίες προς τους ανωτέρω (όπως οι εταιρίες γραμματειακής υποστήριξης, φύλαξης & καθαρισμού), οι εταιρίες εκπόνησης «Κλινικών Μελετών» καθώς και οι φαρμακευτικές εταιρίες.

Στην ουσία τα δεδομένα υγείας χαίρουν αυξημένης προστασίας σε σχέση με τα απλά προσωπικά δεδομένα λόγω της ιδιαίτερης φύσης τους. Οι οργανισμοί παροχής υγειονομικής περίθαλψης χειρίζονται ένα πολύ ευρύ φάσμα δεδομένων που περιλαμβάνει τα οικονομικά αρχεία και τις πληροφορίες ασφάλισης υγείας έως τα αποτελέσματα των εξετάσεων ασθενών.

Μερικοί από αυτούς τους τύπους δεδομένων είναι πιο ευαίσθητοι από τις τυπικές πληροφορίες που συλλέγουν οι οργανισμοί που δεν ανήκουν στον κλάδο υγείας. Τα δεδομένα αυτά είναι μοναδικά συνδεδεμένα με ένα άτομο και είναι ως επί το πλείστον αμετάβλητα. Για παράδειγμα, ένα φυσικό πρόσωπο μπορεί να δημιουργήσει μια νέα διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά δεν μπορεί να αλλάξει το ιατρικό ιστορικό του, καθιστώντας το θέμα προστασίας των δεδομένων του σε περίπτωση κλοπής ιδιαιτέρως σοβαρό και επικίνδυνο.

Οι πάροχοι υπηρεσιών υγείας θα πρέπει να λαμβάνουν υπόψη τους πριν από οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα τις παρακάτω προϋποθέσεις νομιμότητας. Σύμφωνα με όσα ορίζει ο Κανονισμός η επεξεργασία δεδομένων προσωπικού χαρακτήρα που ανήκουν σε ειδικές κατηγορίες απαγορεύεται εκτός αν ισχύει κάποια από τις ακόλουθες περιπτώσεις:

  • το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων (Άρθρο 22).
  • η επεξεργασία είναι απαραίτητη για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου, εάν το υποκείμενο των δεδομένων είναι σωματικά ή νομικά ανίκανο να συγκατατεθεί.
  • η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας με την επιφύλαξη ότι τα δεδομένα αυτά υποβάλλονται σε επεξεργασία από ή υπό την ευθύνη επαγγελματία που υπόκειται στην υποχρέωση τήρησης του επαγγελματικού απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς ή από άλλο πρόσωπο το οποίο υπέχει επίσης υποχρέωση τήρησης του απορρήτου βάσει του δικαίου της Ένωσης ή κράτους μέλους ή βάσει κανόνων που θεσπίζονται από αρμόδιους εθνικούς φορείς.
  • η επεξεργασία είναι απαραίτητη για λόγους δημόσιου συμφέροντος στον τομέα της δημόσιας υγείας, όπως η προστασία έναντι σοβαρών διασυνοριακών απειλών κατά της υγείας ή η διασφάλιση υψηλών προτύπων ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους, το οποίο προβλέπει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των δικαιωμάτων και ελευθεριών του υποκειμένου των δεδομένων, ειδικότερα δε του επαγγελματικού απορρήτου.
  • η επεξεργασία είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον, για σκοπούς επιστημονικής ή ιστορικής έρευνας ή για στατιστικούς σκοπούς σύμφωνα με το άρθρο 89 παράγραφος 1 βάσει του δικαίου της Ένωσης ή κράτους μέλους, οι οποίοι είναι ανάλογοι προς τον επιδιωκόμενο στόχο, σέβονται την ουσία του δικαιώματος στην προστασία των δεδομένων και προβλέπουν κατάλληλα και συγκεκριμένα μέτρα για τη διασφάλιση των θεμελιωδών δικαιωμάτων και των συμφερόντων του υποκειμένου των δεδομένων.

Συχνά προβλήματα που παρατηρούνται στον κλάδο της υγείας είναι μεταξύ άλλων η παραβίαση των χώρων φύλαξης των ιατρικών αρχείων, η απώλεια ή η καταστροφή αρχείων αλλά και η μη εξουσιοδοτημένη πρόσβαση σε αρχεία. Η ανεπαρκής χρηματοδότηση των συστημάτων ασφάλειας αποτελεί ένα ακόμη πρόβλημα προς επίλυση. Δεν είναι λίγες οι μονάδες υγείας που χρησιμοποιούν παλαιές εκδόσεις λογισμικού χωρίς να ανανεώνονται σε τακτική βάση. Επιπρόσθετα, αρκετά λογισμικά προγράμματα δεν έχουν ενεργοποιημένο το κατάλληλο επίπεδο ασφάλειας. Όπως γίνεται κατανοητό, η αναδιοργάνωση και κατ’ επέκταση η συμμόρφωση των παρόχων υγείας με τον Κανονισμό κρίνεται ως επιτακτική ανάγκη προκειμένου να διασφαλιστούν τόσο τα απλά όσο και τα ευαίσθητα δεδομένα προσωπικού χαρακτήρα, των ασθενών αλλά και των εργαζόμενων. Οι ενέργειες που απαιτούνται για τη συμμόρφωση με τον GDPR είναι σημαντικές καθώς απαιτείται συστηματική προετοιμασία και επιλογή των κατάλληλων διαδικασιών και εργαλείων.

Ιδιαίτερη μέριμνα πρέπει να δοθεί και σε θέματα ολοκληρωμένης ενημέρωσης και εκπαίδευσης του προσωπικού που συλλέγει και επεξεργάζεται «ευαίσθητα προσωπικά δεδομένα» ασθενών, εργαζόμενων, συνεργατών, προμηθευτών κτλπ.